Privileged Access Management untuk Active Directory Domain Services

  • Artikel

MIM Privileged Access Management (PAM) adalah solusi yang membantu organisasi membatasi akses istimewa dalam lingkungan Direktori Aktif yang ada dan terisolasi.

Privileged Access Management mencapai dua tujuan:

  • Membangun kembali kontrol atas lingkungan Direktori Aktif yang disusupi dengan mempertahankan lingkungan bastion terpisah yang diketahui tidak terpengaruh oleh serangan berbahaya.
  • Isolasi penggunaan akun istimewa untuk mengurangi risiko kredensial tersebut dicuri.

Catatan

Pendekatan PAM yang disediakan oleh MIM PAM tidak disarankan untuk penyebaran baru di lingkungan yang terhubung ke Internet. MIM PAM dimaksudkan untuk digunakan dalam arsitektur khusus untuk lingkungan AD yang terisolasi di mana akses Internet tidak tersedia, di mana konfigurasi ini diperlukan oleh peraturan, atau di lingkungan terisolasi berdampak tinggi seperti laboratorium penelitian offline dan teknologi operasional yang terputus atau kontrol pengawasan dan lingkungan akuisisi data. MIM PAM berbeda dari Microsoft Entra Privileged Identity Management (PIM). Microsoft Entra PIM adalah layanan yang memungkinkan Anda mengelola, mengontrol, dan memantau akses ke sumber daya di Microsoft Entra ID, Azure, dan Layanan Online Microsoft lainnya seperti Microsoft 365 atau Microsoft Intune. Untuk panduan tentang lingkungan lokal yang terhubung ke Internet dan lingkungan hibrid, lihat mengamankan akses istimewa untuk informasi selengkapnya.

Masalah apa yang membantu DISELESAIKAN OLEH MIM PAM?

Saat ini, terlalu mudah bagi penyerang untuk mendapatkan kredensial akun Admin Domain, dan terlalu sulit untuk menemukan serangan ini setelah fakta. Tujuan PAM adalah untuk mengurangi peluang bagi pengguna jahat untuk mendapatkan akses, sekaligus meningkatkan kontrol dan kesadaran Anda akan lingkungan.

PAM mempermudah penyerang untuk menembus jaringan dan mendapatkan akses akun istimewa. PAM menambahkan perlindungan ke grup istimewa yang mengontrol akses di berbagai komputer dan aplikasi yang bergabung dengan domain di komputer tersebut. Ini juga menambahkan lebih banyak pemantauan, lebih banyak visibilitas, dan kontrol yang lebih halus. Ini memungkinkan organisasi untuk melihat siapa administrator istimewa mereka dan apa yang mereka lakukan. PAM memberi organisasi lebih banyak wawasan tentang bagaimana akun administratif digunakan di lingkungan.

Pendekatan PAM yang disediakan oleh MIM dimaksudkan untuk digunakan dalam arsitektur kustom untuk lingkungan terisolasi di mana akses Internet tidak tersedia, di mana konfigurasi ini diperlukan oleh peraturan, atau di lingkungan terisolasi berdampak tinggi seperti laboratorium penelitian offline dan teknologi operasional yang terputus atau kontrol pengawasan dan lingkungan akuisisi data. Jika Direktori Aktif Anda adalah bagian dari lingkungan yang terhubung ke Internet, lihat mengamankan akses istimewa untuk informasi selengkapnya tentang tempat memulai.

Menyiapkan MIM PAM

PAM dibangun berdasarkan prinsip administrasi just-in-time, yang berkaitan dengan administrasi yang cukup (JEA). JEA adalah toolkit Windows PowerShell yang mendefinisikan serangkaian perintah untuk melakukan aktivitas istimewa. Ini adalah titik akhir di mana administrator bisa mendapatkan otorisasi untuk menjalankan perintah. Di JEA, administrator memutuskan bahwa pengguna dengan hak istimewa tertentu dapat melakukan tugas tertentu. Setiap kali pengguna yang memenuhi syarat perlu melakukan tugas tersebut, mereka mengaktifkan izin tersebut. Izin kedaluwarsa setelah periode waktu tertentu, sehingga pengguna jahat tidak dapat mencuri akses.

Penyiapan dan operasi PAM memiliki empat langkah.

Langkah-langkah PAM: menyiapkan, melindungi, mengoperasikan, memantau - diagram

  1. Persiapan: Identifikasi grup mana di forest Anda yang ada yang memiliki hak istimewa yang signifikan. Buat ulang kelompok-kelompok ini tanpa anggota di hutan bastion.
  2. Lindungi: Siapkan siklus hidup dan perlindungan autentikasi saat pengguna meminta administrasi just-in-time.
  3. Operasikan: Setelah persyaratan autentikasi terpenuhi dan permintaan disetujui, akun pengguna akan ditambahkan sementara ke grup istimewa di forest bastion. Untuk jumlah waktu yang telah ditetapkan sebelumnya, administrator memiliki semua hak istimewa dan izin akses yang ditetapkan ke grup tersebut. Setelah itu, akun dihapus dari grup.
  4. Monitor: PAM menambahkan audit, pemberitahuan, dan laporan permintaan akses istimewa. Anda dapat meninjau riwayat akses istimewa, dan melihat siapa yang melakukan aktivitas. Anda dapat memutuskan apakah aktivitas tersebut valid atau tidak dan dengan mudah mengidentifikasi aktivitas yang tidak sah, seperti upaya untuk menambahkan pengguna langsung ke grup istimewa di hutan asli. Langkah ini penting tidak hanya untuk mengidentifikasi perangkat lunak berbahaya tetapi juga untuk melacak penyerang "di dalam".

Bagaimana cara kerja MIM PAM?

PAM didasarkan pada kemampuan baru di AD DS, terutama untuk autentikasi dan otorisasi akun domain, dan kemampuan baru di Microsoft Identity Manager. PAM memisahkan akun istimewa dari lingkungan Direktori Aktif yang ada. Ketika akun istimewa perlu digunakan, pertama-tama perlu diminta, lalu disetujui. Setelah disetujui, akun istimewa diberikan izin melalui grup utama asing di hutan bastion baru daripada di forest pengguna atau aplikasi saat ini. Penggunaan forest bastion memberi organisasi kontrol yang lebih besar, seperti kapan pengguna dapat menjadi anggota grup istimewa, dan bagaimana pengguna perlu mengautentikasi.

Direktori Aktif, Layanan MIM, dan bagian lain dari solusi ini juga dapat disebarkan dalam konfigurasi ketersediaan tinggi.

Contoh berikut menunjukkan cara kerja PIM secara lebih rinci.

Proses pim dan peserta - diagram

Hutan bastion mengeluarkan keanggotaan grup terbatas waktu, yang pada gilirannya menghasilkan tiket pemberian tiket (TGT) terbatas waktu. Aplikasi atau layanan berbasis Kerberos dapat menghormati dan memberlakukan TGT ini, jika aplikasi dan layanan ada di hutan yang mempercayai hutan bastion.

Akun pengguna sehari-hari tidak perlu pindah ke forest baru. Hal yang sama berlaku untuk komputer, aplikasi, dan grupnya. Mereka tinggal di tempat mereka saat ini di hutan yang ada. Pertimbangkan contoh organisasi yang berkaitan dengan masalah keamanan cyber ini saat ini, tetapi tidak memiliki rencana langsung untuk meningkatkan infrastruktur server ke versi Windows Server berikutnya. Organisasi tersebut masih dapat memanfaatkan solusi gabungan ini dengan menggunakan MIM dan forest bastion baru, dan dapat mengontrol akses ke sumber daya yang ada dengan lebih baik.

PAM menawarkan keuntungan berikut:

  • Isolasi/cakupan hak istimewa: Pengguna tidak memiliki hak istimewa pada akun yang juga digunakan untuk tugas yang tidak istimewa seperti memeriksa email atau menelusuri Internet. Pengguna perlu meminta hak istimewa. Permintaan disetujui atau ditolak berdasarkan kebijakan MIM yang ditentukan oleh administrator PAM. Hingga permintaan disetujui, akses istimewa tidak tersedia.

  • Peningkatan dan pemeriksaan: Ini adalah tantangan autentikasi dan otorisasi baru untuk membantu mengelola siklus hidup akun administratif terpisah. Pengguna dapat meminta elevasi akun administratif dan permintaan tersebut melewati alur kerja MIM.

  • Pengelogan tambahan: Bersama dengan alur kerja MIM bawaan, ada pengelogan tambahan untuk PAM yang mengidentifikasi permintaan, cara otorisasi, dan peristiwa apa pun yang terjadi setelah disetujui.

  • Alur kerja yang dapat disesuaikan: Alur kerja MIM dapat dikonfigurasi untuk skenario yang berbeda, dan beberapa alur kerja dapat digunakan, berdasarkan parameter pengguna yang meminta atau peran yang diminta.

Bagaimana pengguna meminta akses istimewa?

Ada sejumlah cara di mana pengguna dapat mengirimkan permintaan, termasuk:

  • API Layanan Web Layanan MIM
  • Titik akhir REST
  • Windows PowerShell (New-PAMRequest)

Dapatkan detail tentang cmdlet Privileged Access Management.

Alur kerja dan opsi pemantauan apa yang tersedia?

Sebagai contoh, katakanlah pengguna adalah anggota grup administratif sebelum PAM disiapkan. Sebagai bagian dari penyiapan PAM, pengguna dihapus dari grup administratif, dan kebijakan dibuat di MIM. Kebijakan menentukan bahwa jika pengguna tersebut meminta hak administratif, permintaan disetujui dan akun terpisah untuk pengguna akan ditambahkan ke grup istimewa di forest bastion.

Dengan asumsi permintaan disetujui, alur kerja Tindakan berkomunikasi langsung dengan Active Directory forest bastion untuk menempatkan pengguna dalam grup. Misalnya, ketika Jen meminta untuk mengelola database SDM, akun administratif untuk Jen ditambahkan ke grup istimewa di forest bastion dalam hitungan detik. Keanggotaan akun administratifnya dalam grup tersebut akan kedaluwarsa setelah batas waktu. Dengan Windows Server 2016 atau yang lebih baru, keanggotaan tersebut dikaitkan di Direktori Aktif dengan batas waktu.

Catatan

Saat Anda menambahkan anggota baru ke grup, perubahan perlu direplikasi ke pengendali domain (DC) lain di forest bastion. Latensi replikasi dapat memengaruhi kemampuan pengguna untuk mengakses sumber daya. Untuk informasi selengkapnya tentang latensi replikasi, lihat Cara Kerja Topologi Replikasi Direktori Aktif.

Sebaliknya, tautan yang kedaluwarsa dievaluasi secara real time oleh Manajer Akun Keamanan (SAM). Meskipun penambahan anggota grup perlu direplikasi oleh DC yang menerima permintaan akses, penghapusan anggota grup dievaluasi secara instan pada DC apa pun.

Alur kerja ini secara khusus ditujukan untuk akun administratif ini. Administrator (atau bahkan skrip) yang hanya membutuhkan akses sesekali untuk grup istimewa, dapat dengan tepat meminta akses tersebut. MIM mencatat permintaan dan perubahan dalam Direktori Aktif, dan Anda dapat melihatnya di Pemantau Peristiwa atau mengirim data ke solusi pemantauan perusahaan seperti System Center 2012 - Operations Manager Audit Collection Services (ACS), atau alat pihak ketiga lainnya.

Langkah berikutnya